動作原理:Java APIへのアクセスを制限する
デフォルトでは、JavaアプリケーションからJavaランタイムAPIを呼び出すことに対するセキュリティ上の制限はありません。 時には、特定のAPIの不用意な使用を防止したい場合もあるでしょう。 例えば、 java.lang.System.exit() メソッドはJVMと実行中のアプリケーションを即座に終了させます。
JVM内の特定のAPIの使用を防止するには、次の2つの一般的なアプローチから選択できます
- コードスキャン
- コードスキャンとは、ソースコードを分析して、セキュリティ上の脆弱性やコーディングエラーなどの問題を特定し、コーディング規約を徹底する作業です。 最新の開発パイプラインと組み合わせた多種多様な最新ツールを使用して、JavaアプリケーションがアクセスできるリソースやAPIを制限することができます。
- Java セキュリティー・マネージャー
- 非推奨:
Java 17 Javaセキュリティ・マネージャーは非推奨。 詳細は JEP411を参照。 CICS® JVMサーバー環境での使用は推奨されていない。
Java Security Managerは、システム・リソース(ファイルI/Oやシステム・プロパティなど)や特定のJava APIへのアクセスを許可する前にパーミッションをチェックする、ポリシー・ベースのきめ細かいアクセス制御メカニズムを提供します。 この機能は、Java セキュリティ・マネージャを有効にすることで、JVM レベルで有効にすることができます。